TCP-UDP

Le protocole TCP assure le contrôle des données lors de leur transfert. Il a pour rôle de vérifier que les paquets IP envoyés sont bien reçus en l'état, sans aucune perte ou changement sur le plan de leur intégrité.

Le protocole UDP peut remplacer le TCP en cas de problème mineur, il assure un transfert plus fluide car il ne contrôle pas chacune des étapes de la transmission. Il convient par exemple à des applications de streaming (diffusion audio/vidéo) pour lesquelles la perte de paquets n'est pas vitale. En effet, lors de ces transmissions, les paquets perdus seront ignorés.

L’écran des profils

Onglet « IPS-Connexion »

Inspection

Imposer une limite MSS

Cette case permet d’imposer une limite MSS (Maximum Segment Size) pour l’inspection du profil.

NOTE

Le MSS désigne la quantité de données en octets qu'un ordinateur ou tout équipement de communication peut contenir dans un paquet seul et non fragmenté.

 

En cochant cette option, vous dégriserez le champ suivant qui vous permettra d’établir votre limite.

Limite MSS (en octets)

Définissez votre limite MSS, comprise entre 100 et 65535 octets.

Réécrire les séquences TCP avec un aléa fort (arc4)

En cochant cette case, les numéros de séquence TCP générées par le client et le serveur seront écrasés et remplacés par le moteur de prévention d’intrusion Stormshield Network, qui produira des numéros de séquence aléatoires.

Protéger contre l’envoi répété de paquets ACK

En cochant cette option, vous vous protégez contre le vol de session, ou attaque de type « ACK ».

Activer l'ajustement automatique de la mémoire dédiée au suivi de données En cochant cette option, vous autorisez le firewall à ajuster dynamiquement la mémoire allouée au suivi de données (data tracking). La valeur maximale de la mémoire allouée dynamiquement est égale à la taille de la fenêtre TCP divisée par la limite MSS. Lorsque la case est décochée, cette valeur maximale est de 256.

Protection contre le déni de service

Nombre maximal de connections simultanées par machine source (0 désactive cette protection)

Cette option permet de limiter le nombre de connexions simultanées pour une même machine source. Lorsque la valeur choisie vaut 0, aucune restriction n’est appliquée.

AVERTISSEMENT

Le choix d’un nombre trop faible peut empêcher le fonctionnement de certaines applications ou l’affichage de pages Web.

Nombre maximal de nouvelles connections par machine source dans l'intervalle de temps paramétré (0 désactive cette protection)

Cette option permet de limiter le nombre de nouvelles connexions initiées par une machine source dans un intervalle de temps déterminé. Lorsque la valeur choisie vaut 0, aucune restriction n’est appliquée.

AVERTISSEMENT

Le choix d’un nombre trop faible peut empêcher le fonctionnement de certaines applications ou l’affichage de pages Web.

Intervalle de temps pour la limitation des nouvelles connexions

Définissez l’intervalle de temps de référence pour le calcul du nombre de nouvelles connexions autorisées par machine source. Cette valeur doit être comprise entre 1 et 3600 secondes.

Expiration (en secondes)

Délai d’ouverture d’une connexion (SYN)

Temps maximum, exprimé en secondes, autorisé pour l’établissement complet de la connexion TCP (SYN / SYN+ACK / ACK). Ce temps est compris entre 10 et 60 secondes (valeur par défaut : 20 secondes).

Connexion TCP

Temps maximum en secondes, de conservation de l’état d’une connexion TCP sans activité (valeur par défaut : 1800 secondes).

Connexion UDP

Temps maximum, exprimé en secondes, de conservation de l’état d’une pseudo-connexion UDP sans activité. Ce temps est compris entre 30 et 3600 secondes (valeur par défaut : 120 secondes).

Fermeture d’une connexion (FIN)

Temps maximum, exprimé en secondes, admis pour la phase de fermeture d’une connexion TCP (FIN+ACK / ACK / FIN+ACK / ACK). Cette valeur doit être comprise entre 10 et 3600 secondes (valeur par défaut : 480 secondes).

Connexions closes

Délai, en secondes, de conservation d’une connexion clôturée (état closed). Ce délai est compris entre 10 et 60 secondes (valeur par défaut : 2 secondes).

Petite fenêtre TCP

Pour éviter les attaques par déni de service, ce compteur détermine la durée de vie maximum d’une connexion avec une petite fenêtre TCP (inférieure à 100 octet). Ce compteur est initialisé lors de la réception de la première annonce de petite fenêtre.

Si aucun message d’augmentation de fenêtre n'est reçu avant l'expiration de ce compteur, la connexion TCP est coupée.

Support

Désactiver le proxy SYN

En cochant cette case, vous ne serez plus protégé contre les attaques de type « SYN », car le proxy ne filtrera plus les paquets.

Il est recommandé de ne désactiver cette option qu’à des fins de diagnostic.